经不起GDPR千万欧元罚款的折腾，要如何保护“裸奔”中的数据？

如果本文的标题并没有吸引到你，那么下面的内容可能会引起你的注意：2018年5月25日起，任何在网上收集或处理欧洲客户数据的公司，如果不遵守由欧盟签署成为法律的新的GDPR隐私条例，将面临巨额罚款。

这笔罚金将高达2000万欧元，相当于一家公司每年全球营业额的4%，这可能会扼杀一些小型企业。2016年4月14日，《通用数据保护条例》（GDPR）正式通过，企业获得两年的合规窗口期，而目前该法案已生效一年多了，同时也引起了各企业对数据保护的关注。数据保护是长久战，如果你想让电子商务业务长久的维持下去，那么就需要遵循以下四点。

一、了解你正在收集哪些数据以及如何收集这些数据

数据控制者与数据处理者

每一家在网上运营的企业都可以被归类为数据处理者或数据控制者。数据控制者由GDPR定义为决定处理个人数据的目的、条件和方法的实体，这涉及到大多数零售商、电子商务企业以及（有意或无意）收集欧洲网络用户信息的网站。

数据处理者是处理数据控制者收集的任何信息的实体。

根据1998年的《数据保护法》，处理数据包括：

·组织，修改或更改信息或数据；

·检索、咨询或使用信息或数据；

·通过传输、传播或以其他方式披露信息或数据；

·信息或数据的调整、组合、冻结、删除或销毁。

大多数数据处理者可以的类型包括：

·云服务提供商

·支付服务提供商

·薪资公司

·IT服务提供商

·会计服务

·数据处理服务

在过去的法规中，比如《数据保护法》（Data Protection Act），都是针对数据控制者而制定的。然而GDPR 有特定的法规适用于数据处理者。如果你的公司处理相关数据，请确保你了解这些新规则，以避免日后出现问题。

个人信息与敏感的个人信息

数据处理者和控制者所处理的所有信息都可以分为个人信息或敏感的个人信息。对敏感个人信息的收集和处理的规定更加严格，所以定期了解你处理的是哪种类型的信息很重要。

个人信息主要包括：

·名字

·电子邮件地址

·照片、视频或音频文件

·任何类型的识别号码

·银行信息

·位置坐标

·匿名数据（不能完全识别某人的数据)

·IP地址、帐号和个人识别号码

相比之下，敏感的个人信息概述如下：

·种族

·宗教或政治信仰

·综合健康

·性取向或性生活

·基因组成

·身体特征，如体重、身高等。

关于客户的这些细节更加私密，因此被归为敏感信息，如果你的公司希望在GDPR 之后收集这些信息，你需要得到用户明确的同意。你要理解这句话的真正含义，重要的是要考虑网站获得用户同意的两种主要方式：使用点击协议（clickwrap agreements）和浏览协议（browsewrap agreements）。

简单来说，点击协议就是当消费者在网上购物时，网站要求填写的有关信息，并点击“我同意”（I agree）后才可以进行相关活动。而浏览协议即访问者一旦浏览了其网站便与该经营者成立了合同。

二、点击协议比浏览协议更安全

过去在你的网站的某个位置（通常在页脚）放置隐私政策或条件与条款等被认为是合法的，这种策略被称为“browsewrap”，这样浏览网站的行为意味着同意数据收集和网站其他政策。然而，随着一些公司因使用这种方法而被成功地告上法庭之后，“同意”数据收集的定义就变得越来越模糊。

一旦实施了GDPR， 点击协议将是向客户传达政策详细信息和未来更安全的选择。如果在收集用户数据之前需要“明确的同意”，你则100%需要使用clickwrap。如果你只打算收集“个人”信息，那么你仍然可以使用浏览合同，但你很有可能因此受到潜在的审查。

（图源：https://bootstrappingecommerce.com/gdpr/ ）

如果要了解clickwrap的实际效果，请看上面的截图：如果消费者想在英国名厨Jamie Oliver的网站上注册获取时事资讯和食谱，就会有一个弹出窗口出现——非常清楚地表明消费者需要通过提交表格同意了他们的条款才能继续进行访问。这些策略还包含链接，使用户可以方便地访问条件和条款以及隐私政策（以往这些内容通常隐藏在页脚中）。

三、强化隐私政策

GDPR 立法的核心可以归结为一个词：透明度。收集用户数据将很快受到更严格的监管，公司将需要对从用户那里获取的数据更加开放。让你的条款和策略清晰可见是实现遵从性的重要一步，但是如果你想避免诉讼，确保它们的内容易于理解也同样重要。

如果你担心隐私策略的当前版本不是很友好，那么就需要进行改进，让用户真正理解你正在收集的数据。你还可以阅读GDPR规定的新强制性更改，这样就可以知道需要调整或构建的内容。如果你不确定自己能够制定一项符合新规定的政策，那么可以花钱聘请律师来帮你。

四、数据泄露怎么办？

2017年7月29日，信用评分公司Equifax发现其用户的个人数据被泄露了，且影响了近1.43亿美国人。一个多月后，这次泄密事件才公诸于众。但美国《国内生产总值法》第33条规定，企业必须在发现数据泄露后72小时内通知监管部门。虽然对许多企业来说，这可能是一粒难以下咽的“苦果”，但它却是一粒必要的“药丸”，因为这样既能让消费者受益，又能让企业对自己收集的个人信息的安全负责。

一旦公司获悉发生了违反规定的情况，它们应负责：

·描述可能受到影响的人数以及哪些数据存在风险；

·向用户提供资料保护官员的联络资料；

·强调正在采取的主要步骤，以减少由违规造成的问题；

·详细说明对用户造成的潜在后果。

（编译/雨果网 宋淑湲）

【特别声明】未经许可同意，任何个人或组织不得复制、转载、或以其他方式使用本网站内容。转载请联系：editor@cifnews.com